5月28日,一向以“大嘴”著称的360互联网安全中心发布了超级网银风险提示,并曝出该产品多次被黑客利用的案例。超级网银作为央行2009年研发并力推的标准化跨银行网上金融服务产品,四年来一直默默无闻,却因360举动被推上了风口浪尖。案例:全国多发网购被骗案
西南财大的学生小李已经有4年的网购年龄,他非常谨慎,也具有一定安全防范意识,但近日他在网上购买iphone5手机时,却遭遇了骗局。“当时客服通过QQ把付款链接发给我,他说完成操作后,就可以到实体店中去领取手机了。我再三确认了客服给我的是银行合法链接后,才按对方的要求完成了网银操作。可是交易完成后我查不到有交易记录,没过到两三分钟,我手机短信使劲响,一看全是建行的短信提示,就这么点时间里,我卡上1万多块钱分三次转进了一个陌生账户。”小李告诉《金融投资报》记者,从银行账单记录来看,三笔金额不同的转账,时间间隔仅为47秒。
另外,360互联网安全中心还公布了几例类似案件,受害者均是在网购的过程中受骗,涉案金额总共超过数百万的资金,均是在不足5分钟之类被洗劫一空。360说法:互联网金融应以安全第一
《金融投资报》记者发现,在发布超级网银风险提示之后,360安全卫士已紧急更新防护策略,针对来自聊天消息的网银授权链接增加了风险提示。360公司董事长周鸿祎告诉《金融投资报》记者:“超级网银是为了极大程度上方便用户使用而产生的,但在设计理念上,网络金融产品不能一味追求交易的方便快捷,应该把用户的资金安全放在第一位。比如超级网银的页面上应该加入更多的防诈骗案例,在用户操作步骤中,应该给与更多地风险警示。”
“对于网银用户来说,更严重的风险在于安全意识薄弱。”360安全专家万仁国表示,从近期出现的“超级网银”授权诈骗案例来看,全都是消费者在网购过程中被骗子误导。骗子有时会以“交易卡单”等名义发来授权链接,忽悠消费者对交易资金“解冻”,实际上是要消费者把整个网银账户都授权给骗子随意转账。“金融机构也应该注意跨行账户管理功能的双刃剑,带来便利的同时也制造了风险。”
360互联网安全中心还提醒网民,一旦网络交易出现异常,应当首先通过官方渠道联系银行的客服,而不要轻信店家发来的客服聊天号码;不要相信所谓的卡单、掉单、解冻资金等说法,这些都是网络诈骗专用术语;网民应该给自己的网银账户设置单日最高转账限额,并绝对不能将自己的账户授权给陌生人或陌生账户。银行回应:已尽力增强认证措施
记者了解到,“超级网银”是2009年央行研发的标准化跨银行网上金融服务产品,可以用一个网银账户,实现多张银行卡的跨行查询和转账。而将不同银行的账户关联到某个指定银行账户的过程,就是“授权”操作。《金融投资报》记者从360安全中心的风险提示中发现,现有超级网银诈骗案中,漏洞均是在“授权”操作环节。
就“超级网银”授权的业务问题,记者走访成都数家银行网点。建行双楠支行的大堂经理告诉《金融投资报》记者:“为了防范风险,建行已经通过验证网银盾等安全工具以及短信验证码等增强认证措施,在超级网银授权前,网银页面会有风险提示,授权时也会通过短信验证码增强认证。”
不过,某股份制银行个金部负责人表示:“由其他银行发来的请求授权申请,在授权用户的银行看来应当属于‘他行业务’,因此用户一旦完成授权,用户所在的银行就不能擅自解除‘他行业务’,而只能由被授权一方来解除授权签约,或者是双方同时使用U盾才能解除签约。”业内人士告诉记者,这也就意味着,用户除非挂失或暂时冻结自己的账户,否则无法自保。记者调查:“超级网银”均不完善
《金融投资报》记者将国内网银使用率较高的工商银行、建设银行和招商银行三家的“超级网银”进行了对比,发现工商银行的授权提示,容易被用户忽略,但工行设置了单笔最高5千、单日最高5万元的转账限额,也可以比较方便地解除授权;建设银行相对风险最高,每日转账上限竟然达到500万元,授权过程中也没有提示用户设置转账限额;而招行对于“超级网银”授权后果提示得更充分一些,但是和建行一样,都不方便解除授权。